דערהייַנטיקונגען פֿאַר Java SE, MySQL, VirtualBox און אנדערע אָראַקלע פּראָדוקטן מיט פאַרפעסטיקט וואַלנעראַביליטיז

אָראַקלע פֿירמע ארויס פּלאַננעד מעלדונג פון דערהייַנטיקונגען צו זייַן פּראָדוקטן (קריטיש פּאַטש דערהייַנטיקן), אַימעד צו עלימינירן קריטיש פּראָבלעמס און וואַלנעראַביליטיז. אין די אפריל דערהייַנטיקן דאָס איז געווען ילימאַנייטאַד אין גאַנץ 297 וואַלנעראַביליטיז.

ישוז Java SE 12.0.1, 11.0.3 און 8u212 5 זיכערהייט ישוז פאַרפעסטיקט. אַלע וואַלנעראַביליטיז קענען זיין עקספּלויטאַד רימאָוטלי אָן אָטענטאַקיישאַן. איין וואַלנעראַביליטי ספּעציפיש צו די Windows פּלאַטפאָרמע אַסיינד CVSS Score 9.0 (CVE-2019-2699), וואָס קאָראַספּאַנדז צו אַ קריטיש מדרגה פון געפאַר און אַלאַוז אַן אַנאָטהענטיקייטיד באַניצער איבער די נעץ צו קאָמפּראָמיס Java SE אַפּלאַקיישאַנז. צוויי וואַלנעראַביליטיז אין די 2D גראַפיקס פּראַסעסינג סאַבסיסטאַם האָבן שוין אַסיינד מדרגה 8.1 (CVE-2019-2697, CVE-2019-2698). דעטאַילס זענען נאָך נישט דיסקלאָוזד.

אין אַדישאַן צו ישוז אין Java SE, וואַלנעראַביליטיז זענען געמאכט עפנטלעך אין אנדערע אָראַקלע פּראָדוקטן, אַרייַנגערעכנט:

• 40 וואַלנעראַביליטיז אין MySQL (מאַקסימום שטרענגקייַט מדרגה 7.5). די מערסט געפערלעך פּראָבלעם
  (CVE-2019-2632) אַפעקץ די אָטענטאַקיישאַן פּלוגין סאַבסיסטאַם. ישוז וועט זיין פאַרפעסטיקט אין ריליסיז MySQL Community Server 8.0.16, 5.7.26 און 5.6.44.

• 12 וואַלנעראַביליטיז אין VirtualBox, פון וואָס 7 האָבן אַ קריטיש גראַד פון געפאַר (CVSS כעזשבן 8.8). וואַלנעראַביליטיז זענען פאַרפעסטיקט אין דערהייַנטיקונגען VirtualBox 6.0.6 און 5.2.28 (אין נאטיץ דער פאַקט אַז זיכערהייט פּראָבלעמס זענען סאַלווד איז נישט אַדווערטייזד איידער די מעלדונג). דעטאַילס זענען נישט צוגעשטעלט, אָבער אויב משפטן לויט די מדרגה פון CVSS, די וואַלנעראַביליטיז זענען פאַרפעסטיקט, דעמאָנסטרירט אין די Pwn2Own 2019 פאַרמעסט און לאָזן איר צו ויספירן קאָד אויף דער באַלעבאָס סיסטעם זייַט פֿון די גאַסט סיסטעם סוויווע.

  לאָזן איר צו באַפאַלן די באַלעבאָס סיסטעם פֿון די גאַסט סוויווע.

• 3 וואַלנעראַביליטיז אויף סאָלאַריס (מאַקסימום שטרענגקייַט 5.3 - ישוז מיט IPS פּעקל פאַרוואַלטער, SunSSH, און שלאָס פאַרוואַלטונג דינסט. ישוז סאַלווד אין מעלדונג
  Solaris 11.4 SRU8, וואָס אויך ריזומד שטיצן פֿאַר די UCB לייברעריז (libucb, librpcsoc, libdbm, libtermcap, libcurses) און די fc-fabric דינסט, דערהייַנטיקט פּעקל ווערסיעס
  ibus 1.5.19, NTP 4.2.8p12,
  Firefox 60.6.0esr,
  בינדן 9.11.6
  OpenSSL 1.0.2r,
  MySQL 5.6.43 און 5.7.25,
  libxml2 2.9.9,
  libxslt 1.1.33,
  Wireshark 2.6.7,
  ncurses 6.1.0.20190105,
  אַפּאַטשי httpd 2.4.38,
  פּערל 5.22.

מקור: opennet.ru